Технические средства фиксации информации 4 страница

Несанкционированным доступом к информации персонального компьютера будем называть незапланированное ознакомление, обработку, копирование, применение различных вирусов, в том числе разрушающих программные продукты, а также модификацию или уничтожение информации в нарушение установленных правил разграничения доступа.

Для успешной борьбы с подобным видом преступной деятельности следует тщательно изучать ее особенности, хорошо знать виды неправомерного доступа к информации, создания и использования вредоносных программ для ПК в сетях телекоммуникаций и т. д.

Надо также иметь в виду, что современные системы связи (сотовые, транковые, проводные на основе АТС, радиотелефонные удлинители и др.) рассматриваются не только как собственно системы связи, но и как ПК или составляющие элементы системы ПК, то есть как телекоммуникационные системы, к которым, например, можно отнести:

- отдельные составляющие систем связи – как периферийные устройства ПК, системы ПК (сотовый телефон, базовая станция сотовой или транковой сети, радиотелефонный удлинитель, процессор электронной АТС и т. д.);

- носители информации управляющего компьютера сотовой системы, ПЗУ или РТС-контроллер в сотовой или трубке радиоудлинителя – как носители компьютерной информации на машинных носителях;

- программы функционирования управляющих компьютеров систем связи (управляющего компьютера сотовой системы), процессоров сотовых телефонов или радиотелефонных удлинителей – как компьютерные программы;

- телефонные номера, коды доступа, идентификации абонента, сигналы управления и сигнализации (сигналы запроса аппаратуры автоматического определения телефонного номера) – как компьютерная информация.

Таким образом, стандартность архитектурных принципов построения, оборудования и программного обеспечения персональных компьютеров, высокая мобильность программного обеспечения и ряд других признаков определяют сравнительно легкий доступ профессионала к информации, находящейся в ПК. Если персональным компьютером пользуется группа пользователей, то может возникнуть необходимость в ограничении доступа к информации различных потребителей.

Элементами криминалистической характеристики компьютерных преступлений (по Р.С. Белкину) являются: типичные следственные ситуации; характеристика личности преступника; способ совершения преступления; обстановка преступления; типичные материальные следы преступления; способ сокрытия преступления.

Итак, под криминалистической характеристикой компьютерных преступлений будем понимать совокупность наиболее характерной, криминалистически значимой взаимосвязанной информации о признаках и свойствах такого рода преступлений, способную служить основанием для выдвижения версий о событии преступления и личности преступника, позволяющую верно оценить ситуации, возникающие в процессе раскрытия и расследования компьютерных преступлений, обусловливающую применение соответствующих криминалистических методов, приемов и средств.

Следовательно, криминалистическая характеристика компьютерных преступлений включает в себя: способы совершения, особенности непосредственного предмета преступного посягательства, особенности следовой информации, личностную характеристику преступника, особенности обстановки совершения преступления (место, время и др.).

В связи с происходящими изменениями в области информатизации определение предмета преступного посягательства требует нового научного подхода, то есть предметом преступления в контексте данного явления будет информация в виде программных средств и файлов данных.

Следует отметить, что вероятность несанкционированного доступа к системе возрастает при ее перегрузках, которые возникают, например, при массовом подключении к ней пользователей (в начале рабочего дня). Так, нарушители способны создать сходную ситуацию, направляя в систему поток сообщений, которые она не в состоянии корректно обработать. В результате создается открытый канал передачи данных, через который возможен несанкционированный доступ. Под каналом передачи данных при этом понимаются средства двухстороннего обмена данными, представляющие собой совокупность аппаратуры окончания канала данных и линии передачи данных.

В криминалистике способ совершения преступления представляет собой систему взаимообусловленных, подвижно детерминированных действий, направленных на подготовку, совершение и сокрытие преступления, связанных с использованием соответствующих орудий и средств, а также времени, места и других способствующих обстоятельств объективной обстановки совершения преступления.

В литературе описывается множество способов совершения компьютерных преступлений в зависимости от классификации информации, вида машинных носителей, подключения или неподключения к сети и т. д. Так, рабочей группой Интерпола в 1991 г. разработан и встроен в автоматизированную поисковую систему запросов следующий классификатор компьютерных преступлений:

Каждая группа, в свою очередь, разбита на подгруппы:

QA

QAH – «компьютерный абордаж» (хакинг): несанкционированный доступ в компьютер или компьютерную сеть;

QAI – перехват: несанкционированный перехват информации при помощи технических средств, несанкционированные обращения в компьютерную систему или сеть как из нее, так и внутри компьютерной системы или сети;

QAT – кража времени: незаконное использование компьютерной системы или сети с намерением неуплаты;

QAZ – прочие виды несанкционированного доступа и перехвата.

QD

QDL – «логическая бомба»: неправомерное изменение компьютерных данных путем внедрения «логической бомбы»;

QDT – «троянский конь»: неправомерное изменение компьютерных данных путем внедрения «троянского коня»;

QDV – вирус: изменение компьютерных данных путем внедрения или распространения компьютерного вируса;

QDW – «червь»: несанкционированное изменение компьютерных данных или программ путем передачи, внедрения или распространения компьютерного «червя» в компьютерной сети;

QDZ – прочие виды изменения данных.

QF

QFC – компьютерные мошенничества с банкоматами, связанные с хищением из них наличных денег;

QFF – компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и т. д.);

QFG – мошенничества и хищения, связанные с игровыми автоматами;

QFM – манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода в компьютерные системы или вывода из них путем манипуляции программами;

QFP – компьютерные мошенничества и хищения, связанные с платежными средствами;

QFT – телефонное мошенничество: доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы;

QFZ – прочие компьютерные мошенничества.

QR

QRG/QRS – незаконное копирование, распространение или опубликование компьютерных игр и другого програм-много обеспечения;

QRT – незаконное копирование защищенной законом топографии полупроводниковых изделий; незаконная коммерческая эксплуатация либо импорт с этой целью топографии или самого полупроводникового изделия, произведенного с использованием данной топографии;

QRZ – прочее незаконное копирование.

QS

QSH – саботаж с использованием аппаратного обеспечения: ввод, изменение, стирание, подавление компьютерных данных или программ либо вмешательство в работу компьютерных систем с намерением нарушить функционирование компьютерной (телекоммуникационной) системы;

QSS – компьютерный саботаж программы: несанкционированное стирание, повреждение, ухудшение или подавление компьютерных данных или программ;

QSZ – прочие виды саботажа.

QZ

QZB – электронные доски объявлений (BBS): использование BBS для хранения, обмена и распространения материалов, имеющих отношение к преступной деятельности;

QZE – хищение информации, представляющей собой коммерческую тайну (компьютерный шпионаж): приобретение незаконными средствами или передача информации, представляющей собой коммерческую тайну, с намерением причинить экономический ущерб или получить незаконные экономические преимущества;

QZS – материал конфиденциального характера: использование компьютерных сетей или систем для хранения, обмена, распространения или перемещения информации конфиденциального характера;

QZZ – прочие компьютерные преступления.

Ссылаясь на Уголовный кодекс Российской Федерации, ученые подразделяют личности компьютерных преступников на несколько категорий, куда входят лица:

- осуществляющие неправомерный доступ к компьютерной информации в группе по предварительному сговору или организованной группой;

- осуществляющие неправомерный доступ к компьютерной информации с использованием своего служебного положения;

- имеющие доступ к ПК, но осуществляющие неправомерный доступ к компьютерной информации или нарушающие правила эксплуатации ПК;

- создающие, использующие и распространяющие вредоносные программы.

Исследователи также выделяют следующие типы компьютерных преступников:

- лица, отличительной особенностью которых является устойчивое сочетание профессионализма в области компьютерной техники и программирования с элементами своеобразного фанатизма и изобретательности (так называемые хакеры и крекеры);

- лица, страдающие новой разновидностью психической неполноценности – информационными болезнями или компьютерными фобиями (игроманы; работающие за компьютером длительное время; страдающие информационными перегрузками и т. д.);

- профессиональные компьютерные преступники с ярко выраженными корыстными целями.

К наиболее опасным преступникам ученые относят хакеров и крекеров.

Хакеры – компьютерные хулиганы, проникающие в память чужих компьютеров с помощью своих, подключенных по телефонным каналам к сетям передачи данных. При этом преследуются разнообразные цели: от любопытства и удовлетворения тщеславия до получения конкретной выгоды. Одним из основных внешнеповеденческих отличительных признаков хакерства является безразличие ко всему, что не имеет непосредственного отношения к работе с компьютером. У хакеров атрофирована установка на конечный результат, их не интересует полезность и возможность передачи продукта их деятельности в общественное пользование. Вследствие этого они игнорируют общественные интересы и проявляют «компьютерный снобизм». Для хакеров характерна симптоматика бегства от реальности.

Под внешнеповеденческими признаками лиц, обладающих общим для них отличительным признаком, понимается совокупность признаков внешности человека (анатомических, функциональных), речевых свойств, эмоциональных признаков, выраженных индивидуально-типологических особенностей (темперамент, характер).

Мотивы поступков различны, как правило, это хулиганские побуждения, реже – исследовательский интерес.

Крекеры – компьютерные «террористы», создающие программы-вирусы и специализирующиеся на проникновении в компьютерные сети и системы с целью овладения конфиденциальной информацией. Являясь программистами очень высокого класса (в отличие от хакеров), они могут стереть или изменить данные в соответствии со своими интересами. В социальном плане крекеры инфантильны, безответственны.

Мотивами поступков крекеров может быть мщение за нанесенную им обиду, попытка дезорганизовать вычислительные системы своих конкурентов или авторская защита программных продуктов от несанкционированного копирования и распространения.

Общими признаками для указанных подгрупп являются:

- завышенная оценка своих профессиональных и, как следствие, интеллектуальных способностей;

- использование специфического жаргона не только в кругу специалистов, но и при повседневном общении;

- отсутствие интереса к обычной жизни и др.

Для рассмотренных подгрупп следует указать особенности, свидетельствующие о совершении компьютерного преступления лицами, входящими в них:

- отсутствие целеустремленной, продуманной подготовки к преступлению;

- оригинальность способа совершения преступления;

- непринятие мер к сокрытию преступления;

- совершение на месте происшествия действий, которые условно можно назвать озорными, выходящими за рамки принятых норм.

Под обстановкой совершения преступления понимают систему различного рода взаимодействующих между собой объектов, явлений и процессов, характеризующих условия места и времени, вещественные, физико-химические, метеорологические и иные условия окружающей среды, производственные факторы, особенности поведения участников события, не имеющих прямого отношения к нему, и другие обстоятельства объективной реальности, сложившиеся (независимо или по воле участников) в момент преступления, влияющие на способ его совершения и проявляющиеся в следах, позволяющих судить об особенностях этой системы и содержании преступного события.

Способ совершения компьютерного преступления будет определяться наиболее характерными составляющими обстановки:

- местом и временем действия преступника (преступников);

- особенностью компьютеризации субъекта хозяйствования;

- особенностями организации информационной безопасности;

- возможностями нарушения целостности компьютерной информации без непосредственного участия человека;

- уровнем квалификации специалистов, обеспечивающих защиту информации, а также администрирование компьютеров и их сетей.

Рассматривая важнейшие факторы, влияющие на компьютерную безопасность, обратимся к Доктрине информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г., где определены следующие угрозы информационной безопасности информационных и телекоммуникационных систем, а именно:

- противоправный сбор и использование информации;

- нарушение технологии обработки информации;

- внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

- разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации:

- уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникаций и связи;

- воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;

- компрометация ключей и средств криптографической защиты информации;

- утечка информации по техническим каналам;

- внедрение электронных устройств для перехвата информации в технических средствах обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от форм собственности;

- уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

- перехват информации в сетях передачи данных и на каналах связи, дешифрование этой информации и навязывание ложной информации;

- использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникаций и связи при создании и развитии российской информационной инфраструктуры;

- несанкционированный доступ к информации, находящейся в банках и базах данных;

- нарушение законных ограничений на распространение информации.

Под доступом к информации в нашем случае будем понимать ознакомление с информацией или получение возможности ее обработки.

Под угрозойследует понимать реально существующую либо потенциальную опасность случайного или умышленного нарушения информационной безопасности. Это обстоятельства или события, которые могут явиться причиной нанесения ущерба интересам личности, общества или государства.

Раскрывая направления деятельности по обеспечению информационной безопасности, ряд авторов предлагают различное толкование информационных угроз в зависимости от факторов, влияющих на защиту информации. К ним, например, относятся: интересы государства и общества, экономические, организационно-технические факторы, которые, в свою очередь, группируются в глобальные, региональные и локальные факторы угроз.

Таким образом, обобщенный перечень угроз информационной компьютерной безопасности включает в себя следующие группы факторов:

1. Антропогенные угрозы (противозаконная деятельность криминальных структур, нарушителей, недобросовестных партнеров, конкурентов, отдельных работников организаций и т. п.).

2. Техногенные угрозы (некачественное оборудование, программное обеспечение и средства защиты, средства связи, охраны, сигнализации, иные применяемые технические средства, а также опасные производства, транспорт и т. д.).

3. Стихийные угрозы (землетрясения, цунами, затопления, ураганы, иные природные явления).

Необходимо отметить, что есть два вида несанкционированного доступа к услугам телекоммуникационных сетей – технологический и административный.

Технологический характеризуется использованием нелегальными абонентами технического оборудования, аналогичного работающему в системе связи. Такая аппаратура опознается как существующий абонент со всеми вытекающими последствиями, например, по оплате услуг, когда абоненту системы приходится оплачивать временной ресурс, потраченный нелегальным абонентом. Иногда несанк-ционированный доступ происходит без идентификации абонента, путем технологического «обмана» аппаратуры.

Административный доступ характеризуется использованием ресурсов телекоммуникационной системы связи без неправомерного технического доступа в систему. Как правило, это отказ от оплаты услуг под различными предлогами. Данный вид процветает при существовании развитой системы кредитования услуг.

В заключение отметим, что анализ криминалистической характеристики компьютерных преступлений позволяет предположить, что наибольшую значимость имеет осмотр на месте совершения компьютерного преступления:

- персональных компьютеров, серверов, устройств резервного копирования, сетевых аксессуаров;

- журналов регистрации событий защиты операционных систем и баз данных;

- документации по регламенту;

- выходной печатной документации.

Следует учитывать, что осмотр места происшествия, являясь важным источником информации, используемой для построения версий при расследовании компьютерных преступлений, не должен обладать заранее установленным приоритетом перед другими следственными действиями, так как для построения и проверки версий возможно использование фактических данных, получаемых в результате проведения иных следственных действий и оперативно-розыск-ных мероприятий.

2. Основные методы обеспечения

компьютерной безопасности

Рассматривая особенности организации системы информационной безопасности, необходимо отметить ее многоаспектность, включающую в себя правовое, инженерно- техническое, организационное обеспечение, а также организацию управления защитой информации.

Под информационной безопасностью в общем случае понимают свойство процесса информатизации, характеризующее состояние защищенности личности, общества и государства от возможных негативных последствий информатизации.

Под безопасностью автоматизированной системы обработки информации понимают ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее, то есть защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов.

Помимо мер организационно-управленческого характера, серьезную общепрофилактическую роль в борьбе с указанными преступлениями и другими правонарушениями в условиях автоматизации могут играть меры технического характера по защите машинной информации от несанкционированного доступа. При этом защита информации должна быть реализована как в правоохранительных автоматизированных системах (с особой тщательностью – в АСУ, АБД, ИПС оперативно-розыскного назначения), так и в народнохозяйственных вычислительных центрах, где необходимо предупреждать возможность внесения подлогов в информационные массивы и машинные программы обработки учетно-экономических данных.

Для организации системы защиты информации необходимо ответить на следующие вопросы: от чего, что и как надо защищать (какими методами и средствами)?

При практической отработке подходов к решению проблем безопасности информации всегда следует исходить из того, что конечной целью применения любых мер противодействия угрозам является защита владельца и (или) законных пользователей от нанесения им материального или морального вреда, а в нашем случае – и от несанкционированного доступа к государственной и служебной тайне.

Различают внешнюю и внутреннюю безопасность. Внешняя безопасность включает в себя защиту от стихийных бедствий, проникновения злоумышленников извне с целью хищения, получения доступа к носителям информации или вывода электронных систем обработки из строя. Предметом внутренней безопасности является обеспечение надежной и удобной работы электронных систем обработки, целостности программ и данных обслуживающих компьютеров.

В настоящее время существует два основных подхода к проблеме обеспечения защиты информации. Назовем их условно фрагментарный и комплексный.

Главным достоинством (и главным недостатком) фрагментарного подхода является его высокая избирательность относительно конкретной угрозы. Это обусловливает еще один основной его недостаток – локальность действия. Другими словами, эти меры обеспечивают эффективную защиту конкретных объектов от конкретной угрозы, но не более того. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Особенностью комплексного подхода является создание защищенной среды обработки информации, объединяющей разнородные меры противодействия угрозам (правовые, организационные, технические и др.). Этот способ реализации защиты информации определяется ее спецификой, другими объективными и субъективными факторами.

Очевидно, что реализация защищенной информационной среды позволяет гарантировать определенный уровень противодействия преступным посягательствам и оказать существенное влияние на обстановку совершения преступления.

Целостность компьютерной информации может быть нарушена и без непосредственного участия человека, что выражается:

- в повреждении или выходе из строя компьютерного оборудования в результате нестабильности системы электропитания, стихийных бедствий либо неблагоприятных условий эксплуатации;

- выходе из строя магнитных носителей информации;

- неполадках кабельных систем, вызывающих сохранение неверной информации либо снижение производительности сети;

- программных и аппаратных сбоях, возникающих в результате некорректной работы прикладного программного обеспечения либо операционных систем.

Отметим, что составными элементами системы защиты информации являются правовые (законодательные), морально-этические, административные, физические и технические (аппаратные и программные) меры.

К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения.

К морально-этическим мерам противодействия относятся всевозможные нормы поведения, которые традиционно сложились или складываются в окружающем обществе по мере развития и распространения информации. Эти нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма), так и оформленные в некий свод (устав) правил или предписаний. В частности, при обработке информации на компьютерных системах считается неэтичным производить умышленные или неумышленные действия, которые нарушают: работу компьютерных систем, целостность хранимой и обрабатываемой информации, интересы других законных пользователей, вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи) и т. д.

Административные меры защиты – это меры организационного характера. Они включают в себя: разработку правил обработки информации; охранные мероприятия, осуществляемые при проектировании, строительстве и оборудовании зданий (помещений), защиту от установки прослушивающей аппаратуры и т. п.; мероприятия, осуществляемые при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, мерами ответственности за нарушение правил ее обработки; создание условий, при которых персоналу было бы невыгодно допускать злоупотребления, и т. д.); организацию надежного пропускного режима; организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией; распределение режимов доступа (профилей полномочий, паролей и т. п.); организацию подготовки и в необходимых случаях проведение скрытого контроля за работой персонала; мероприятия, осуществляемые при проектировании, разработке, ремонте и модификации оборудования и программного обеспечения компьютерных систем; сертификацию используемых технических и программных средств, строгое санкционированное рассмотрение и утверждение их изменений, проверку на удовлетворение требований защиты, документальное отражение изменений.

Физические меры защиты включают в себя разного рода механические, электро- или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации.

Технические (аппаратно-программные) средства защиты – электронные устройства и специальные программы для ПК, которые выполняют (самостоятельно или в комплексе с другими) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т. д.).

Таким образом, обеспечение компьютерной безопасности можно классифицировать на инженерно-техническое и организационное.

Инженерно-техническое обеспечение защиты информации – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах обеспечения безопасности учреждения.

Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются из-за проведения организационных мероприятий.

Организационное обеспечение компьютерной безопасности включает в себя организационно-административные, организационно-технические и организационно-экономические мероприятия.

Очевидно, что в структурах с низким уровнем дисциплины и этики ставить вопрос о защите информации просто бессмысленно. В таких подразделениях надо решать прежде всего правовые и организационные вопросы.

Административные меры используются тогда, когда другие меры и средства защиты недоступны (по финансовым или техническим причинам). Однако это не означает, что систему необходимо строить исключительно на основе административных методов, так как они имеют следующие недостатки:

- низкая надежность без соответствующей поддержки со стороны физических, технических и программных средств (люди склонны к нарушению любых установленных правил, если их можно нарушить);

- применение для защиты только административных мер обычно приводит к параличу деятельности всей организации или как минимум автоматизированной системы обработки данных (совершенно невозможно работать, не нарушая инструкций) из-за ряда дополнительных неудобств, связанных с большим объемом рутинной формальной деятельности.

Рассматривая самый распространенный и прогрессивный метод обработки информации – с помощью автоматизированных систем на базе персональных компьютеров, необходимо отметить, что проблема умышленных нарушений функционирования автоматизированных систем обработки информации различного назначения в настоящее время является одной из самых актуальных.

При использовании автоматизированных систем обработки информации можно выделить три основные причины нарушений: безответственность, самоутверждение и корыст-ный интерес пользователей.

Способы предотвращения этих нарушений вытекают также из природы побудительных мотивов – соответствующей подготовки пользователей, а также поддержания здорового рабочего климата в коллективе, подбора персонала, своевременного обнаружения потенциальных злоумышленников и принятия необходимых мер. Первый из них – задача руководителей органов и учреждений, второй – постоянная аналитическая работа по оценке состояния безопасности и повышению ответственности за нее всех сотрудников. Только сочетание этих способов представляет собой реальную возможность не исправлять нарушения и не расследовать преступления, а устранять их причины.

Собственно механизм реализации защиты информации подразумевает два основных способа. При первом – механизмы защиты не реализованы в программном и аппаратном обеспечении. Защита информации при хранении, обработке или передаче обеспечивается дополнительными программными или аппаратными средствами, не входящими в состав самой системы. Этот способ называется «добавленной» защитой, ибо средства защиты служат дополнением к основным программным или аппаратным средствам.